06.11.2017 Apples neue Gesichtserkennung

Wie sicher ist die Face ID beim iPhone X?

Von: Terry Ray*

Im Zuge der Markteinführung von iPhone X hat Apple eine neue Sicherheitsfunktion vorgestellt: Face ID. Die Gesichtserkennungstechnologie soll beim iPhone X an die Stelle der bisherigen iPhone-Fingerabdruckerkennung treten. Doch wie sicher ist das Ganze?

Sichere Face ID beim neuen iPhone X?

Gesichtserkennung: Wie sicher ist die Face ID beim neuen iPhone X von Apple?

Aktuell spekulieren Experten darüber, wie tauglich Face ID und die Gesichtserkennung im Allgemeinen tatsächlich sind – einige fällen ein positives Urteil, andere äußern sich kritisch. Dabei gilt: Wenn der Authentifizierungsmechanismus wirklich effektiv sein soll, müssen drei Anforderungen erfüllt sein:

  1. Er muss zuverlässig sein.
  2. Er muss leicht anzuwenden sein.
  3. Er muss sicher sein.

Desweiteren müssen folgenden Fragen beantwortet werden: Erfüllt die Gesichtserkennung nun diese Kriterien? Und ist Gesichtserkennung leicht anzuwenden? Generell ist eine Authentifizierung per Gesichtserkennung nicht schwierig. Man blickt einfach in die Kamera (oder auch nicht, je nach Einstellungen) und das war es. Dank der Infrarotbeleuchtung des iPhone X von Apple braucht es noch nicht einmal einen Blitz.

Dies macht Face ID nicht nur einfacher als andere Formen der Authentifizierung, sondern verbessert auch die Zugänglichkeit. So funktionieren Fingerprint-Scans eventuell nicht, wenn man schwimmen war, geduscht hat, im Winter Handschuhe trägt oder auch nur schwitzt. Voiceprint-Nutzung kann nervig sein – besonders, wenn man nicht alleine ist und zudem nicht möchte, dass jeder in der Umgebung weiß, was man gerade auf seinem Smartphone macht.

Passwörter und Passcodes wiederum sind notorisch schwierig zu merken – vor allem, weil man so viele davon hat. Außerdem kostet es Zeit und Mühe, sie einzugeben. Aufs Smartphone zu blicken erfordert dagegen keine Zeit und keinerlei zusätzlichen Aufwand. In puncto Benutzerfreundlichkeit schneidet Face ID also offenbar gut ab. Doch wie sieht es mit der Sicherheit und Zuverlässigkeit aus?

Ist Gesichtserkennung zuverlässig?

Wie steht es mit False Positives bei der Anwendung der Gesichtserkennung? Wird Face ID vielleicht zu leicht zugänglich sein – und damit schon unzuverlässig? Apple räumt ein, dass ein Zwilling oder anderer naher Verwandter einem Benutzer so ähnlich sehen könnte, dass ein False Positive ausgelöst wird. Schlimmer noch: Forscher haben in der Vergangenheit bereits erfolgreiche Brute-Force-Angriffe gegen Gesichtserkennung ausgeführt. Die Zeit wird zeigen, wie gut Apple beim 3D-Scannen seine Hausaufgaben gemacht hat.

Apple merkt zudem an, das auch False Negatives möglich sind, falls ein Benutzer sein Aussehen auf erhebliche, aber nicht unübliche Weise verändert – zum Beispiel einen „Holzfällerbart“ abrasiert oder sich eine völlig andere Frisur zulegt. In diesem Fall wäre ein Reset erforderlich. Zumindest was diesen letzten Punkt angeht, dürfte es von Vorteil sein, dass die Gesichtserkennung des iPhone X dynamischer ist als andere Systeme zur Authentifizierung via Gesichtserkennung. Das ist allerdings dann schon weniger eine Frage der Zuverlässigkeit als eine der Sicherheit.

Ist Gesichtserkennung sicher?

Eine Authentifizierung via Gesichtserkennung erscheint wesentlich sicherer als die Authentifizierung per Fingerabdruck. Echte Gesichter lassen sich nicht so leicht ergaunern wie echte Fingerabdrücke – und Apple zufolge wird Face ID nur funktionieren, wenn der Benutzer auf eine Weise auf sein Smartphone schaut, die von „Aufmerksamkeit“ zeugt (wobei sich auch diese Funktion abschalten lässt).

Noch deutlicher wird der Unterschied zwischen Authentifizierung per Gesichtserkennung und Authentifizierung per Fingerabdruck: Laut Apple könnte einer von 50.000 Fingern möglicherweise ein fremdes iPhone mit Smart-Touch-Funktion entriegeln, während nur eines von 1.000.000 Gesichtern eventuell ein fremdes iPhone mit aktivierter Face ID entsperren könnte. … Nur liegt die Chance, einen sechsstelligen PIN-Code für ein iPhone zu erraten, ebenfalls bei 1 zu 1.000.000.

Solange die Benutzer übliche PIN-Code-Muster vermeiden (z.B. sequentielle Codes, wiederkehrende Codes und Codes, die „19“ oder „20“ als Verweis auf ein nicht weit zurückliegendes Jahr enthalten), ist ein sechsstelliger iPhone PIN-Code also ungefähr so sicher wie Apples Face ID. Zudem könnte ein längeres alphanumerisches Passwort – trotz aller mit Passwörtern verbundenen Probleme – bei ausreichender Entropie potentiell noch schwerer zu entsperren sein als ein Gerät mit Face ID. Insbesondere auch deshalb, weil Passwort-Nutzer möglicherweise stärkeren gesetzlichen Schutz genießen als die Anwender biometrischer Mittel. Stellt sich somit die Frage, was das Ganze letztlich bringt?

Ist Gesichtserkennung gut für die Gesellschaft?

Man muss kein Experte für Informationssicherheit sein, um die grundlegende Regel der Cyber-Sicherheit zu kennen: Sein Passwort macht man niemals öffentlich bekannt. Das eigene Gesicht ist jedoch definitiv öffentlich bekannt – besonders heutzutage, wo viel in sozialen Medien geteilt, Online-Dating-Profile erstellt und staatliche (Video-)Überwachung fast allgegenwärtig ist. Authentisierungsmittel sind in der Regel am wirksamsten, wenn man sie für sich behält. Andernfalls lassen sie sich leicht zu Identitätsdiebstählen missbrauchen.

Wenn das Gesicht – oder ein anderes statisches biometrisches Merkmal wie etwa Fingerabdruck, Iris, Handvenen etc. – tatsächlich kompromittiert wird, dann kann auch die komplette Identität kompromittiert werden. So können fremde biometrische Daten mit den eigenen überschrieben und Identitäten gewechselt werden.
* Der Autor Terry Ray ist Chief Technical Officer (CTO) bei Imperva, einem Anbieter von Cyber-Sicherheitslösungen.


©2017 Alle Rechte bei MEDIENHAUS Verlag GmbH